ProxyNotShell : Détection des vulnérabilités CVE-2022-41040 et CVE-2022-41082, nouvelles failles Zero-Day de Microsoft Exchange activement exploitées dans la nature

[post-views]
septembre 30, 2022 · 4 min de lecture
ProxyNotShell : Détection des vulnérabilités CVE-2022-41040 et CVE-2022-41082, nouvelles failles Zero-Day de Microsoft Exchange activement exploitées dans la nature

Restez en alerte ! Les chercheurs en cybersécurité ont récemment révélé de nouvelles vulnérabilités zero-day sur Microsoft Exchange, également connues sous le nom de ProxyNotShell suivies comme CVE-2022-41040 et CVE-2022-41082 qui sont actuellement activement exploitées dans la nature. Les nouvelles failles découvertes dans Microsoft Exchange Server peuvent être associées dans la chaîne d’exploitation pour propager des web shells Chinese Chopper sur les serveurs ciblés. Selon les chercheurs, ces attaques zero-day peuvent être attribuées à des hackers chinois.

Détecter les tentatives d’exploitation des vulnérabilités ProxyNotShell : Zero-Days critiques dans Microsoft Exchange Server

Les campagnes d’adversaires exploitant des vulnérabilités zero-day dans des attaques réelles nécessitent une ultra-réactivité de la part des défenseurs cyber. Pour aider les organisations à se défendre proactivement contre des attaques de cette envergure, la plateforme Detection as Code de SOC Prime a récemment publié un ensemble de règles Sigma sélectionnées pour la détection d’exploits zero-day sur Microsoft Exchange, connues sous le nom de vulnérabilités ProxyNotShell en raison de leurs similitudes. Tous les algorithmes de détection sont disponibles pour une recherche simplifiée via le tag “ProxyNotShell” basé sur le nom que les zero-days ont reçu en raison de leurs similitudes avec les célèbres failles ProxyShell

Les règles Sigma fournies dans la pile de détection peuvent être utilisées sur les solutions SIEM, EDR et XDR leaders du marché, en fonction des besoins spécifiques de l’environnement de l’organisation.

Cliquez sur le Explore Detections bouton pour accéder instantanément à la liste des règles Sigma pertinentes enrichies avec des références MITRE ATT&CK, des liens CTI et d’autres contextes pertinents de menaces cyber.

Explore Detections

Nouveaux Zero-Days Microsoft Exchange également connus sous le nom de ProxyNotShell : Analyse des attaques et atténuation

Les vulnérabilités zero-day dans Exchange Server tendent à provoquer des remous dans l’arène des menaces cyber en posant une menace sérieuse aux organisations mondiales exploitant cette application Microsoft populaire. Les chercheurs de l’entreprise vietnamienne de cybersécurité GTSC ont récemment découvert de nouvelles vulnérabilités zero-day affectant Microsoft Exchange Server 2013, 2016 et 2019. Comme le rapportent les chercheurs de GTSC, les zero-days révélés peuvent être enchaînés pour télécharger des web shells Chinese Chopper permettant aux attaquants de voler des données sensibles et de réaliser des mouvements latéraux dans l’environnement compromis. L’activité malveillante est liée à un collectif de hackers chinois basé sur la page de code contenant des web shells et l’utilisation d’AntSword, un utilitaire de gestion de site web open-source chinois. Les chercheurs en cybersécurité chez GTSC ont noté que les requêtes dans la dernière chaîne d’exploits ciblant l’application Microsoft Exchange affichent des similitudes avec celles utilisées dans des cyberattaques exploitant les vulnérabilités ProxyShell.

Pour prendre des mesures immédiates, GTSC a publié un avertissement rapportant une campagne d’attaques en cours exploitant l’une de ces failles zero-day par des attaquants pour exécuter du code à distance (RCE). Les chercheurs en cybersécurité ont soumis en privé cette information critique sur les vulnérabilités de sécurité découvertes à Microsoft via Zero Day Initiative, qui a identifié ces failles sous les identifiants ZDI-CAN-18333 et ZDI-CAN-18802.

Le 29 septembre 2022, le Microsoft Security Response Center a émis des conseils aux clients pour les vulnérabilités zero-day de Microsoft Exchange signalées avec une liste de mesures d’atténuation pour remédier à la menace. La première faille est une vulnérabilité de serveur SSRF (Server-Side Request Forgery) suivie comme CVE-2022-41040, tandis que la seconde, connue sous le nom de CVE-2022-41082, permet aux adversaires d’exécuter du code à distance à l’aide de PowerShell. Après avoir obtenu un accès authentifié à Microsoft Exchange Server et utilisé la CVE-2022-41040, les acteurs menaçants peuvent également déclencher la seconde vulnérabilité menant à une chaîne d’exploitation.

Selon les recommandations aux clients, les clients en ligne exploitant Microsoft Exchange ne sont pas tenus de prendre des mesures immédiates puisque les bugs zero-day divulgués n’affectent que les applications sur site. En tant que mesures d’atténuation, il est recommandé aux utilisateurs d’applications sur site de suivre un ensemble fourni d’ Instructions de réécriture URL et de bloquer les ports PowerShell distants compromis, y compris HTTP : 5985 et HTTPS : 5986.

Contexte MITRE ATT&CK®

Pour plonger dans le contexte des zero-days Microsoft Exchange utilisés dans les attaques en cours, les règles Sigma mentionnées ci-dessus sont mappées au cadre MITRE ATT&CK® abordant les tactiques et techniques correspondantes :

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Blog, Dernières Menaces — 5 min de lecture
Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Veronika Telychko
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Blog, Dernières Menaces — 6 min de lecture
Détection de Porte Dérobée TorNet : Une Campagne de Phishing en Cours Utilise le Malware PureCrypter pour Disséminer d’Autres Charges
Veronika Telychko